数据安全问题受到广泛关注

  [中国石化报2023-09-11]
  中国科学院院士冯登国强调，数据是数字时代的基础性战略资源与关键性生产要素，尤其是随着国家大数据战略的深化，数据要素呈现加速整合和互联互通的趋势，在此背景下，数据安全问题尤其突出。
  2021年3月发布的《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》强调，推动数据赋能全产业链协同转型，强化数据资源全生命周期安全保护。2022年10月，《国务院关于数字经济发展情况的报告》指出，要全面加强网络安全和数据安全保护，推动构建网络空间命运共同体。《数据安全法》《个人信息保护法》于2021年落地实施，如何平衡数字经济发展与重要的数据安全、个人隐私保护成为现实挑战。
  《数据安全法》分别定义了数据和数据安全。数据是指任何以电子或者其他方式对信息的记录；数据安全是指通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。数据是有生命周期的，包括产生、采集、传输、交换、储存、分析、使用、共享、销毁等诸多环节，每个环节都面临安全威胁，需要进行全链条安全防护。
  目前，数据安全主要面临数据泄露、数据破坏、隐私泄露、数据失控、数据滥用、数据损坏和丢失等六大威胁。冯登国指出，近年来，随着技术不断发展，数据垄断或霸权、数据勒索和敲诈威胁愈加严重。重要的数据控制在少数人和少数单位手中，并被不合理地分配和使用，也包括超级平台通过自身营造的网络生态系统吸引大量流量、汇聚海量信息，或利用先进技术形成大量数据并对其控制，数据垄断或霸权会限制数据资源在市场上的自由流动。攻击者会借助勒索软件等技术和工具使数据拥有者无法使用数据，通过索要赎金提供恢复数据手段，或者攻击者先创建数据副本，然后威胁公开数据，索要赎金。
  大数据时代的到来，让“数据安全”这个“古老”的名词备受关注。大数据时代的数据安全不仅包括传统的机密性、完整性、可用性，也包括隐私性和敏感性，不仅包括防止数据泄露的隐私性和敏感性，也包括数据分析中的隐私性和敏感性。解决数据安全问题离不开配套的法规政策的支持及严格的管理手段，但更需要可信赖的技术手段来支撑数据安全技术，既包括数字全生命周期各个环节的相应技术，也包括数据的分类分级、数据安全的合规检查、数据安全监管这些共性支撑技术。
  另外，面向数据全生命周期支撑数据安全，需要构建数据安全防护（零信任网络访问控制、密文与安全多方计算、安全可信计算环境构建等）、数据安全治理（隐私泄露分析与匿名化评估、个人隐私保护监测等）与数据安全威慑（安全数据追踪溯源、网络空间数据测绘、智能数据诱导与反制等）三大技术体系。
  当前，数据安全有三大主流发展方向：数据存储安全、数据传输安全、数据使用安全。其中，数据使用安全受到高度关注，当前已经出现了多起影响深远的基于内存数据的攻击手段，云计算、大数据等新兴应用场景的发展，移动、物联网等设备数量的不断扩大，迫切需要对使用中的数据进行保护。2017年，有黑客利用名为Triton的工具攻击了一家位于沙特的炼油厂，致使其紧急关闭，分析人员在其中发现了从内存中提取用户口令或其他认证凭据的恶意程序，其目标是关闭工业系统控制的正常服务功能并对其造成物理损坏。数据使用安全是当前数据安全中最薄弱的环节，是前沿发展方向，需要加快创新研究和实用化进程。
  冯登国建议，要树立自主可控、安全可信的防护理念，不断深化认识数据安全的内涵，紧跟国际数据安全技术发展趋势，加强数据安全战略和法律法规研究制定，紧密结合产业和应用实际，自主掌控一批核心技术和产品，高质量推进数据安全产业的发展。